Dinamiche Verticali Formazione
Procedure e Privacy Policy

DATA BREACH POLICY

Procedura di notifica di violazione dei dati personali

1. PREMESSE

DINAMICHE VERTICALI FORMAZIONE S.R.L. ai sensi del Regolamento Europeo 2016/679 (da qui in avanti GDPR), è tenuta a mantenere sicuri i dati personali trattati nell’ambito delle proprie attività istituzionali e ad agire senza ingiustificato ritardo in caso di violazione dei dati stessi (incluse eventuali notifiche all’Autorità Garante competente ed eventuali comunicazioni agli interessati).

È di fondamentale importanza predisporre azioni da attuare nell’eventualità in cui si presentino violazioni concrete, potenziali o sospette di dati personali, ciò al fine di evitare rischi per i diritti e le libertà degli interessati, nonché danni economici al Titolare e per poter riscontrare nei tempi e nei modi previsti dalla normativa europea l’Autorità Garante e/o gli interessati.

Le sanzioni previste dal GDPR per omessa notifica di Data Breach all’Autorità di Controllo o omessa comunicazione agli interessati o entrambi gli adempimenti, nei casi in cui siano soddisfatti i requisiti di cui agli artt. 33 e 34 GDPR, può comportare l’applicazione in capo a DINAMICHE VERTICALI FORMAZIONE S.R.L. di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del “fatturato” annuo totale dell’esercizio precedente, anche accompagnata da una misura correttiva ai sensi dell’art. 58 c. 2.

2. SCOPO

Lo scopo di questa procedura è di disegnare un flusso per la gestione delle violazioni dei dati personali trattati da DINAMICHE VERTICALI FORMAZIONE S.R.L. in qualità di Titolare del trattamento (di seguito “Titolare del trattamento”). Queste procedure sono ad integrazione delle procedure adottate dal Titolare del trattamento in materia di protezione dei dati personali ai sensi della legislazione vigente.

3. COS’È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)

Una violazione di dati personali è ogni infrazione alla sicurezza degli stessi che comporti - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal Titolare del trattamento.

Le violazioni di dati personali possono accadere per un ampio numero di ragioni che possono includere:

  • divulgazione di dati confidenziali a persone non autorizzate;
  • perdita o furto di dati o di strumenti nei quali i dati sono memorizzati;
  • perdita o furto di documenti cartacei;
  • infedeltà aziendale (ad esempio: data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico);
  • accesso abusivo (ad esempio: data breach causato da un accesso non autorizzato ai sistemi
  • informatici con successiva divulgazione delle informazioni acquisite);
  • casi di pirateria informatica;
  • banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”;
  • virus o altri attacchi al sistema informatico o alla rete aziendale;
  • violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di sicurezza o archivi, contenenti informazioni riservate);
  • smarrimento di pc portatili, devices o attrezzature informatiche aziendali;
  • invio di e-mail contenenti dati personali e/o particolari a erroneo destinatario.

4. A CHI SONO RIVOLTE QUESTE PROCEDURE?

Queste procedure sono rivolte a tutti i soggetti che a qualsiasi titolo trattano dati personali di competenza del Titolare del trattamento (meglio descritti al punto 5 della presente procedura) quali:

  • i lavoratori dipendenti, nonché coloro che a qualsiasi titolo - e quindi a prescindere dal tipo di rapporto intercorrente - abbiano accesso ai dati personali trattati nel corso del proprio impiego per conto del Titolare del trattamento (di seguito genericamente denominati Destinatari interni);
  • qualsiasi soggetto (persona fisica o persona giuridica) diverso dal Destinatario interno che, in ragione del rapporto contrattuale in essere con il Titolare del trattamento abbia accesso ai suddetti dati e agisca in qualità di Responsabile del trattamento ex art. 28 GDPR o di autonomo Titolare (di seguito genericamente denominati Destinatari esterni); di seguito, genericamente denominati “Destinatari”.

Tutti i Destinatari devono essere debitamente informati dell’esistenza della presente procedura, mediante metodi e mezzi che ne assicurino la comprensione.

Il rispetto della presente procedura è obbligatorio per tutti i soggetti coinvolti e la mancata conformità alle regole di comportamento previste dalla stessa potrà comportare provvedimenti disciplinari a carico dei dipendenti inadempienti ovvero la risoluzione dei contratti in essere con terze parti inadempienti, secondo le normative vigenti in materia.

5. A QUALI TIPI DI DATI SI RIFERISCONO QUESTE PROCEDURE

Queste procedure si riferiscono a:

  • dati personali trattati “da “e “per conto” del Titolare del trattamento, in qualsiasi formato (inclusi documenti cartacei) e con qualsiasi mezzo;
  • dati personali conservati o trattati a mezzo di qualsiasi altro sistema aziendale.

Per «dato personale» si intende: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

6. GESTIONE COMUNICAZIONE DI DATA BREACHES

Le violazioni di dati personali sono gestite dal Titolare del trattamento o da un suo delegato.

In caso di concreta, sospetta e/o avvenuta violazione dei dati personali, è di estrema importanza assicurare che la stessa sia affrontata immediatamente e correttamente al fine di minimizzare l’impatto della violazione e prevenire che si ripeta.

Nel caso in cui uno dei Destinatari si accorga di una concreta, potenziale o sospetta violazione dei dati personali, dovrà immediatamente informare dell’incidente il superiore gerarchico il quale si occuperà, con il supporto dei Destinatari stessi, di informare il Titolare del trattamento o un suo delegato tramite comunicazione email all’indirizzo formazione@petzl.it.

7. GESTIONE DELLA VIOLAZIONE DEI DATI PERSONALI

Per gestire una violazione dei dati personali è necessario seguire i seguenti cinque step:

  • Step 1: Identificazione e indagine preliminare
  • Step 2: Contenimento, recovery e risk assessment
  • Step 3: Eventuale notifica all’Autorità Garante
  • Step 4: Eventuale comunicazione agli interessati
  • Step 5: Documentazione della violazione

Step 1: Identificazione e indagine preliminare

La comunicazione via email permetterà al Titolare del trattamento o un suo delegato di condurre una valutazione iniziale riguardante la notizia dell’incidente occorso, ciò al fine di stabilire se si sia effettivamente verificata un’ipotesi di Data Breach (violazione) e se sia necessaria un’indagine più approfondita dell’accaduto, procedendo con il risk assessment (step 2).

Nel caso in cui si tratti di violazione di dati contenuti in un sistema informatico, il Titolare del trattamento o un suo delegato dovrà coinvolgere in tutta la procedura indicata nel presente documento anche il Responsabile dell’Ufficio IT o un suo delegato in caso di assenza.

Detta valutazione iniziale sarà effettuata attraverso l’esame delle informazioni quali:

  • la data di scoperta della violazione (tempestività);
  • Il soggetto che è venuto a conoscenza della violazione;
  • la descrizione dell’incidente (natura della violazione e dei dati coinvolti);
  • le categorie e il numero approssimativo degli interessati coinvolti nella violazione;
  • la descrizione di eventuali azioni già poste in essere.

Step 2: Contenimento, recovery e risk assessment

Una volta stabilito che un Data Breach è avvenuto, il Titolare del trattamento o un suo delegato, dovranno stabilire:

  • se esistono azioni che possano limitare i danni che la violazione potrebbe causare (i.e. riparazione fisica di strumentazione; utilizzo dei file di back up per recuperare dati persi o danneggiati; isolamento/chiusura di un settore compromesso della rete; cambio dei codici di accesso… ecc.);
  • una volta identificate tali azioni, quali siano i soggetti che devono agire per contenere la violazione;
  • se sia necessario notificare la violazione all’Autorità Garante per la Protezione dei dati personali (ove sia probabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche);
  • se sia necessario comunicare la violazione agli interessati (ove la violazione presenti un elevato rischio per i diritti e le libertà delle persone fisiche).

Mentre gli obblighi di notifica all’Autorità di Controllo scaturiscono dal superamento di una soglia di rischio semplice, l’art. 34 GDPR prevede, invece, che l’obbligo di comunicazione agli interessati sia innescato dal superamento di un rischio elevato.

Come da Provvedimento del Garante del 30 Luglio 2019 sulla notifica delle violazioni dei dati personali, occorrerà notificare unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

Step 3: Eventuale notifica all’Autorità Garante

Una volta valutata la necessità di effettuare notifica della violazione dei dati subita sulla base della procedura di cui allo step 2, secondo quanto prescritto dal Regolamento (UE) 2016/679, il Titolare dovrà provvedervi, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuta a conoscenza.

La notifica dovrà contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679, e richiede la compilazione del modello allegato al Provvedimento del Garante del 30 Luglio 2019 sulla notifica delle violazioni dei dati personali (scaricabile dal sito del Garante all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501).

La notifica dovrà avvenire inviando al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it il modello compilato e sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica dovrà essere presentata unitamente alla copia del documento d'identità del firmatario.

L'oggetto del messaggio dovrà contenere obbligatoriamente la dicitura "NOTIFICA VIOLAZIONE DATI PERSONALI" e opzionalmente la denominazione del titolare del trattamento.

Step 4: Eventuale comunicazione agli interessati

Una volta valutata la necessità di effettuare la comunicazione della violazione dei dati a coloro dei cui dati si tratta, sulla base della procedura di cui allo step 2, secondo quanto prescritto dal Regolamento (UE) 2016/679, il Titolare dovrà provvedervi, senza ingiustificato ritardo.

Quanto al contenuto di tale comunicazione, il Titolare del trattamento o da un suo delegato, dovranno:

  • descrivere le probabili conseguenze della violazione dei dati personali;
  • descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e, se del caso, per attenuarne i possibili effetti negativi.

Quanto alle modalità di comunicazione, caso per caso, il Titolare del trattamento o da un suo delegato, dovranno sempre privilegiare la modalità di comunicazione diretta con i soggetti interessati (quali e-mail, SMS o messaggi diretti). Il messaggio dovrà essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni nel contesto di update generali o newsletter, che potrebbero essere facilmente fraintesi dai lettori. Nel caso in cui la segnalazione diretta richieda uno sforzo ritenuto sproporzionato, allora si potrà utilizzare una comunicazione pubblica, che dovrà essere ugualmente efficace nel contatto diretto con l’interessato.

Step 5: Documentazione della violazione

Indipendentemente dalla valutazione circa la necessità di procedere a notificazione e/o comunicazione della violazione di Data Breach, ogni qualvolta si verifichi un incidente comunicato dai Destinatari il Titolare sarà tenuta a documentarlo.

Tale documentazione sarà affidata al Titolare del trattamento o da un suo delegato con l’ausilio del Responsabile dell’Ufficio IT (qualora la violazione riguardi dati contenuti in sistemi informatici) vi provvederà mediante la tenuta del Registro dei Data Breach, secondo le informazioni ivi riportate: (i) n. violazione; (ii) data violazione; (iii) natura della violazione; (iv) categoria di interessati; (v) categoria di dati personali coinvolti; (vi) numero approssimativo di registrazioni dei dati personali; (vii) conseguenze della violazione; (viii) contromisure adottate; (ix) se sia stata effettuata notifica all'Autorità Garante Privacy; (x) se sia stata effettuata comunicazione agli interessati.

Il Registro dei Data Breach deve essere continuamente aggiornato e messo a disposizione del Garante qualora l’Autorità chieda di accedervi.


PROCEDURA DI GESTIONE DELLE RICHIESTE PER L’ESERCIZIO DEI DIRITTI DELL’INTERESSATO

PREMESSA

Il Regolamento Europeo 2016/679 agli articoli 15, 16, 17, 18, 19, 20, 21, 22 riconosce i seguenti diritti all'Interessato:

  1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
  2. L'interessato ha diritto di ottenere l'indicazione:
    • a. dell'origine dei dati personali;
    • b. delle finalità e modalità del trattamento;
    • c. della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
    • d. degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell' articolo 5, comma 2;
    • e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
  3. L'interessato ha diritto di ottenere:
    • a. l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    • b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
    • c. l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;
    • d. la portabilità dei dati.
  4. L'interessato ha diritto di opporsi, in tutto o in parte:
    • a. per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    • b. al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Inoltre, l’interessato nel caso ritenga che il trattamento dei propri dati sia contrario alla normativa in vigore può proporre reclamo all’Autorità di controllo per la protezione dei dati personali ai sensi dell’art. 77 del Regolamento 2016/679.

ISTRUZIONI

COMUNICAZIONE DATI DI CONTATTO E ELENCAZIONE DEI DIRITTI

Il titolare del trattamento, per agevolare l’esercizio dei diritti da parte dell’interessato ha fornito, tramite l’informativa cartacea ed elettronica, i dati relativi a: Titolare del trattamento, modalità di contatto e specifica relativa ai diritti dell’interessato riconosciuti dal Regolamento.

L’interessato potrà esercitare i propri diritti presentando una richiesta mediante posta raccomandata, mail, posta elettronica o compilando e consegnando a mano l’apposita modulistica predisposta per l’esercizio dei diritti.

COSA FARE IN CASO GIUNGA UNA RICHIESTA

Qualora pervenga una richiesta, tramite uno qualsiasi dei canali precedentemente citati, occorre darne immediata comunicazione al Titolare, affinché venga rispettata la corretta procedura prevista dal Regolamento:

Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo alla richiesta pervenuta o, qualora la richiesta sia incompleta o poco chiara, fornisce il "Modello per l’esercizio dei diritti in materia di protezione dei dati personali" senza ingiustificato ritardo e, comunque, al più tardi entro 1 mese dal ricevimento della richiesta stessa.

Tale termine può essere prorogato di due mesi, se necessario, tenuto conto delle complessità e del numero delle richieste, esclusivamente su autorizzazione del Titolare.

Nel caso l’interessato presenti una richiesta mediante mezzi elettronici, le informazioni saranno fornite, ove possibile e fatta salva diversa indicazione dell’interessato, con mezzi elettronici.

Il Titolare del trattamento documenta la gestione delle richieste pervenute, predisponendo un apposito registro, in modo da consentire all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.


PROCEDURA DI ASSEGNAZIONE, VERIFICA E REVOCA DEI LIVELLI DI AUTORIZZAZIONE DEGLI INCARICATI DEL TRATTAMENTO

ASSEGNAZIONE

Il Titolare del trattamento ha il compito di garantire all’interessato che, in qualsiasi fase del trattamento, verranno applicati i principi previsti dal GDPR - Regolamento Europeo 2016/679 sulla protezione dei dati e applicate le misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati.

Qualora il Titolare si avvalga di collaboratori nel trattamento dei dati, questi ha il compito di individuare, valutare, nominare e fornire precise istruzioni ai soggetti incaricati del trattamento.

Dopo aver definito i livelli di autorizzazione di accesso ai dati di ciascuno, inoltre, il Titolare, anche con l’ausilio del personale IT, fornisce al soggetto incaricato credenziali personali che consentono l’accesso ai dati in base al profilo assegnato.

Il Titolare del trattamento, inoltre, definisce politiche di accesso ai locali e agli archivi aziendali e le modalità di gestione delle chiavi.

VERIFICA

Periodicamente – ogni 6 mesi – o in occasione del cambiamento di mansione degli incaricati , il Titolare procede alla verifica delle autorizzazioni assegnate, variando eventualmente i livelli di accesso e conseguentemente le nomine e le credenziali assegnate ai soggetti incaricati del trattamento.

REVOCA

Nel caso di dimissioni, cessazione della collaborazione o cambio di mansione di un incaricato, il Titolare procede immediatamente, anche con l’ausilio del personale IT, alla revoca delle credenziali di accesso a dati e sistemi.


PROCEDURA DI ASSEGNAZIONE, VERIFICA E REVOCA DEI LIVELLI DI AUTORIZZAZIONE DEGLI INCARICATI DEL TRATTAMENTO

Il GDPR - Regolamento Europeo 2016/679 sulla protezione dei dati alla lettera e) dell’articolo 5 impone l’applicazione del principio di “limitazione della conservazione” dei dati.

Nello specifico, il Regolamento prescrive che i dati vengano "..conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati…".

In base ai trattamenti effettuati e alle finalità dichiarate, quindi, il Titolare definisce i tempi di conservazione dei dati, annotandoli sul Registro dei Trattamenti.

Se gli strumenti elettronici (software e hardware) attualmente in uso lo consentono, il Titolare imposta una procedura automatica di cancellazione o anonimizzazione del dato basata sui tempi di conservazione dichiarati. Nel caso questa soluzione non sia percorribile, il Titolare informa ciascun incaricato circa i tempi di conservazione dei dati e gli stessi – periodicamente (in base ai tempi indicati), sotto la supervisione e con l’autorizzazione del Titolare del trattamento – procedono alla cancellazione/anonimizzazione (dati elettronici) o distruzione (dati cartacei) del dato.

Per lo smaltimento della documentazione cartacea viene fornito apparato Distruggidocumenti.

Molta attenzione deve essere posta nella cancellazione di dati e documenti dagli apparati hardware (pc, notebook, hard disk, chiavi USB, smartphone, tablet, ecc) non più utilizzati, ricorrendo ove necessario allo smaltimento degli apparati ad opera di personale tecnico o aziende specializzati.